1.DHCP Snooping的基本原理:
开启了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从开启了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。
简单一句话,就是IP地址只能从我指定的信任接口获取,其它接口发过来的报文我都不信任,不接受,也不分配IP地址。
2.使用场景:DHCP服务器------SW-----PC 这个是正常的典型网络PC通过DHCP获取IP地址,如果这个时候SW下面再挂接一个路由器,或者是其它的DHCP服务器时,PC有可能会获取到别的IP地址具体如下图
3.开启了DHCP后,如下图,会生成一个绑定表,并且只有指定的端口才可以发送报文进行DHCP的分配 ,其它端口的报文全部丢弃。
实验拓扑:
#
sysname PE1
#
dhcp enable //开启DHCP服务
#
dhcp snooping enable //开启DHCP snooping功能
#
interface GigabitEthernet1/0/1
dhcp snooping enable //在接入层的所有端口开启
#
interface GigabitEthernet1/0/2
dhcp snooping enable //在接入层的所有端口开启
#
interface GigabitEthernet2/0/1
dhcp snooping trusted //在接DHCP服务器或者中继端口开启端口信任,只有这个端口分配过来的IP我才会接受。
#
return
这里只做最主要最重要的相关配置,还有其它特别优化的配置请自行去研究。
参照原文:https://jingyan.baidu.com/article/acf728fd78804ef8e510a3d0.html